AWSSupport-TroubleshootADConnectorConnectivity - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootADConnectorConnectivity

Deskripsi

AWSSupport-TroubleshootADConnectorConnectivityRunbook memverifikasi prasyarat berikut untuk AD Connector:

  • Memeriksa apakah lalu lintas yang diperlukan diizinkan oleh grup keamanan dan aturan daftar kontrol akses jaringan (ACL) yang terkait dengan AD Connector Anda.

  • Memeriksa apakah titik akhir VPC CloudWatch antarmuka AWS Systems Manager AWS Security Token Service,, dan Amazon ada di cloud pribadi virtual (VPC) yang sama dengan AD Connector.

Ketika pemeriksaan prasyarat berhasil diselesaikan, runbook meluncurkan dua instans Amazon Elastic Compute Cloud (Amazon EC2) Linux t2.micro dalam subnet yang sama dengan AD Connector Anda. Tes konektivitas jaringan kemudian dilakukan dengan menggunakan netcat dan nslookup utilitas.

Jalankan Otomasi ini (konsol)

penting

Menggunakan runbook ini mungkin dikenakan biaya tambahan untuk EC2 instans Amazon, Akun AWS volume Amazon Elastic Block Store, dan Amazon Machine Image (AMI) dibuat selama otomatisasi. Untuk informasi selengkapnya, lihat Amazon Elastic Compute Cloud Pricing dan Amazon Elastic Block Store Pricing.

Jika aws:deletestack langkahnya gagal, buka AWS CloudFormation konsol untuk menghapus tumpukan secara manual. Nama tumpukan yang dibuat oleh runbook ini dimulai denganAWSSupport-TroubleshootADConnectorConnectivity. Untuk informasi tentang menghapus AWS CloudFormation tumpukan, lihat Menghapus tumpukan di Panduan Pengguna.AWS CloudFormation

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux, macOS, Windows

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • DirectoryId

    Tipe: String

    Deskripsi: (Wajib) ID direktori AD Connector yang ingin Anda pecahkan masalah konektivitas.

  • Ec2 InstanceProfile

    Tipe: String

    Karakter maksimal: 128

    Deskripsi: (Wajib) Nama profil instance yang ingin Anda tetapkan ke instance yang diluncurkan untuk melakukan pengujian konektivitas. Profil instance yang Anda tentukan harus memiliki AmazonSSMManagedInstanceCore kebijakan atau izin yang setara.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • ec2:DescribeImages

  • ec2:DescribeSubnets

  • ec2:DescribeSecurityGroups

  • ec2:DescribeNetworkAcls

  • ec2:DescribeVpcEndpoints

  • ec2:CreateTags

  • ec2:RunInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DescribeStacks

  • cloudformation:ListStackResources

  • cloudformation:DeleteStack

  • ds:DescribeDirectories

  • ssm:SendCommand

  • ssm:ListCommands

  • ssm:ListCommandInvocations

  • ssm:GetParameters

  • ssm:DescribeInstanceInformation

  • iam:PassRole

Langkah Dokumen

  • aws:assertAwsResourceProperty- Mengonfirmasi direktori yang ditentukan dalam DirectoryId parameter adalah AD Connector.

  • aws:executeAwsApi- Mengumpulkan informasi tentang AD Connector.

  • aws:executeAwsApi- Mengumpulkan informasi tentang grup keamanan yang terkait dengan AD Connector.

  • aws:executeAwsApi- Mengumpulkan informasi tentang aturan ACL jaringan yang terkait dengan subnet untuk AD Connector.

  • aws:executeScript- Mengubah aturan grup keamanan AD Connector untuk memverifikasi bahwa lalu lintas keluar yang diperlukan diizinkan.

  • aws:executeScript- Mengubah aturan ACL jaringan AD Connector untuk memverifikasi bahwa lalu lintas jaringan keluar dan masuk yang diperlukan diperbolehkan.

  • aws:executeScript- Memeriksa apakah titik akhir CloudWatch antarmuka AWS Systems Manager, AWS Security Token Service dan Amazon ada di VPC yang sama dengan AD Connector.

  • aws:executeScript- Mengkompilasi output dari pemeriksaan yang dilakukan pada langkah sebelumnya.

  • aws:branch- Cabang otomatisasi tergantung pada output dari langkah sebelumnya. Otomatisasi berhenti di sini jika aturan keluar dan masuk yang diperlukan tidak ada untuk grup keamanan dan jaringan. ACLs

  • aws:createStack- Membuat AWS CloudFormation tumpukan untuk meluncurkan EC2 instans Amazon untuk melakukan tes konektivitas.

  • aws:executeAwsApi- Mengumpulkan EC2 contoh Amazon yang baru diluncurkan. IDs

  • aws:waitForAwsResourceProperty- Menunggu EC2 instans Amazon pertama yang baru diluncurkan untuk melaporkan sebagaimana dikelola oleh AWS Systems Manager.

  • aws:waitForAwsResourceProperty- Menunggu EC2 instans Amazon kedua yang baru diluncurkan untuk melaporkan sebagaimana dikelola oleh AWS Systems Manager.

  • aws:runCommand- Melakukan pengujian konektivitas jaringan ke alamat IP server DNS lokal dari instans Amazon EC2 pertama.

  • aws:runCommand- Melakukan pengujian konektivitas jaringan ke alamat IP server DNS lokal dari instans Amazon EC2 kedua.

  • aws:changeInstanceState- Menghentikan EC2 instans Amazon yang digunakan untuk tes konektivitas.

  • aws:deleteStack- Menghapus AWS CloudFormation tumpukan.

  • aws:executeScript- Mengeluarkan instruksi tentang cara menghapus AWS CloudFormation tumpukan secara manual jika otomatisasi gagal menghapus tumpukan.